HBAC

From A-Eskwiki
Jump to: navigation, search

De HBAC-module van IPA bepaalt wie wat mag doen op welke machine. Hieronder een overzicht van de ingeschakelde regels.

Regel Wie Wat Waar
Mail Iedereen SMTP, dovecot vm-mail
Sysop sysop alles overal
WS+Extern bestuur, cies, extern, mensjes alles workstations, vm-extern
WWW webcie alles vm-www, vm-www-debug

HBAC en Apache

Naast authenticatie voor Apache kan mod_authnz_pam ook autorisatie verzorgen. Hiertoe moet er een HBAC-regel en PAM-service aangemaakt worden. Het aanmaken van de pam-service is triviaal, maak in /etc/pam.d/ een bestand aan met als naam de naam van de te configureren service en de volgende inhoud:

auth    required   pam_sss.so
account required   pam_sss.so

Voeg de zojuist aangemaakte service toe aan IPA en maak de HBAC-regel:

ipa hbacsvc-add $servicename           # Let op dat $servicenaam hetzelfde is als de bestandsnaam van de PAM-service
ipa hbacrule-add $rulename             # Kies een mooie naam
ipa hbacrule-add-service $rulename
ipa hbacrule-add-host $rulename --hosts=$hostname
ipa hbacrule-add-user $rulename [--users=$username, --groups=$groups]